🍊柑橘 RSS 阅读器 - 鸿蒙首款原生 RSS 阅读器

重要提醒：React 服务器组件曝光了一枚未认证的远程代码执行（RCE）漏洞，只要项目启用了 RSC 支持，就可能被远程掌控。建议所有依赖 React 19 的项目立即排查并升级。

本文根据 React 团队于 2025 年 12 月 3 日发布的「Critical Security Vulnerability in React Server Components」翻译整理。

🚨 漏洞概述

12 月 3 日，React 官方团队发布最高级别安全通告：React 服务器组件（RSC）存在未认证的远程代码执行漏洞。
漏洞已被登记为 CVE-2025-55182，CVSS 得分 10.0（危害最高级别）。
攻击者无需通过身份验证，只要能向 Server Function 端点发送恶意 HTTP 请求，就可能在服务器上执行任意代码，直接接管你的后端环境。
即便你尚未实现任何 React Server Function，只要你的框架或构建工具启用了 RSC 能力，就可能处于风险之中。

⚠️ 你是否受到影响？

受影响的 React 版本

19.0
19.1.0
19.1.1
19.2.0

受影响的框架与工具

Next.js
React Router
Waku
@parcel/rsc
@vitejs/plugin-rsc
rwsdk

以下情况暂不受影响

✅ 完全运行在客户端、没有任何服务端代码的 React 应用
✅ 没有使用支持 React 服务器组件的框架或打包工具

特别注意：只要支持 React 服务器组件，即便没有配置任何 Server Function 端点，也可能遭到攻击！

🛡️ 紧急修复方案

React 团队已在 19.0.1、19.1.2、19.2.1 中修复，请立即升级到对应分支的安全版本。
若你使用的是 canary 版本（如 Next.js 14.3.0-canary.77+），请降级到最新稳定版，再等待后续补丁。
一些托管服务商已在 React 团队指导下部署临时缓解，但请勿依赖临时方案，必须升级依赖。

基础升级命令示例：

1
2
3

npm install react@19.2.1 react-dom@19.2.1

yarn add react@19.2.1 react-dom@19.2.1

📅 漏洞时间线

11 月 29 日：安全研究员 Lachlan Davidson 通过 Meta Bug Bounty 报告漏洞。
11 月 30 日：Meta 安全团队确认漏洞，并与 React 团队展开修复。
12 月 1 日：修复方案完成，同时与托管服务商和生态项目联动部署缓解措施。
12 月 3 日：补丁发布到 npm，漏洞以 CVE-2025-55182 正式披露。

💡 技术背景

React Server Functions 允许客户端通过 HTTP 请求调用运行在服务器上的函数，React 会负责序列化与反序列化过程。漏洞恰恰出在服务端解码载荷的环节：

客户端发起的函数调用被转换为 HTTP 请求。
服务端解析载荷并执行对应的函数。
攻击者可以伪造恶意载荷，诱使 React 在反序列化过程中执行任意代码。

在官方确认补丁完全部署之前，更多技术细节将保持保密，以免漏洞被大规模利用。

🎯 行动建议

立即确认项目所用的 React 与框架版本。
马上升级 React 核心依赖以及框架/打包器提供的 RSC 支持包。
同步通知团队、合作伙伴及客户，确保所有部署都得到修复。
监控服务器日志与入侵检测，关注是否存在可疑请求。
持续关注官方公告（React、Next.js、Expo、Redwood 等），获取最新补丁状态。

升级指南（框架 & 构建工具）

Next.js

npm install next@15.0.5   
npm install next@15.1.9   
npm install next@15.2.6   
npm install next@15.3.6   
npm install next@15.4.8   
npm install next@15.5.7   
npm install next@16.0.7

若使用 14.3.0-canary.77 或更高的 canary，请降级至最新 14.x 稳定版：

1	npm install next@14

详见 Next.js 安全公告。

React Router（不稳定 RSC API）

npm install react@latest
npm install react-dom@latest
npm install react-server-dom-parcel@latest
npm install react-server-dom-webpack@latest
npm install @vitejs/plugin-rsc@latest

Expo

1	npm install react@latest react-dom@latest react-server-dom-webpack@latest

Redwood SDK

1 2	npm install rwsdk@latest npm install react@latest react-dom@latest react-server-dom-webpack@latest

更多迁移说明见 Redwood 文档。

Waku

1	npm install react@latest react-dom@latest react-server-dom-webpack@latest waku@latest

详情参考 Waku 官方讨论。

@vitejs/plugin-rsc

1	npm install react@latest react-dom@latest @vitejs/plugin-rsc@latest

react-server-dom-parcel

1	npm install react@latest react-dom@latest react-server-dom-parcel@latest

react-server-dom-turbopack

1	npm install react@latest react-dom@latest react-server-dom-turbopack@latest

react-server-dom-webpack

1	npm install react@latest react-dom@latest react-server-dom-webpack@latest

🙏 致谢

感谢安全研究员 Lachlan Davidson 发现并报告漏洞，也向在补丁发布期间提供临时缓解与验证的托管服务商、框架团队和社区贡献者致以谢意。

📢 重要提醒

安全无小事！ 该漏洞的严重性不容忽视，请务必在今天完成升级，保障用户数据与业务连续性。

转发给你的技术团队，让更多开发者看到这条重要信息！

本文根据 React 团队于 2025 年 12 月 3 日发布的「Critical Security Vulnerability in React Server Components」翻译整理。

🚨 漏洞概述

12 月 3 日，React 官方团队发布最高级别安全通告：React 服务器组件（RSC）存在未认证的远程代码执行漏洞。
漏洞已被登记为 CVE-2025-55182，CVSS 得分 10.0（危害最高级别）。
攻击者无需通过身份验证，只要能向 Server Function 端点发送恶意 HTTP 请求，就可能在服务器上执行任意代码，直接接管你的后端环境。
即便你尚未实现任何 React Server Function，只要你的框架或构建工具启用了 RSC 能力，就可能处于风险之中。

⚠️ 你是否受到影响？

受影响的 React 版本

19.0
19.1.0
19.1.1
19.2.0

受影响的框架与工具

Next.js
React Router
Waku
@parcel/rsc
@vitejs/plugin-rsc
rwsdk

以下情况暂不受影响

✅ 完全运行在客户端、没有任何服务端代码的 React 应用
✅ 没有使用支持 React 服务器组件的框架或打包工具

特别注意：只要支持 React 服务器组件，即便没有配置任何 Server Function 端点，也可能遭到攻击！

🛡️ 紧急修复方案

React 团队已在 19.0.1、19.1.2、19.2.1 中修复，请立即升级到对应分支的安全版本。
若你使用的是 canary 版本（如 Next.js 14.3.0-canary.77+），请降级到最新稳定版，再等待后续补丁。
一些托管服务商已在 React 团队指导下部署临时缓解，但请勿依赖临时方案，必须升级依赖。

基础升级命令示例：

1
2
3

npm install react@19.2.1 react-dom@19.2.1

yarn add react@19.2.1 react-dom@19.2.1

📅 漏洞时间线

11 月 29 日：安全研究员 Lachlan Davidson 通过 Meta Bug Bounty 报告漏洞。
11 月 30 日：Meta 安全团队确认漏洞，并与 React 团队展开修复。
12 月 1 日：修复方案完成，同时与托管服务商和生态项目联动部署缓解措施。
12 月 3 日：补丁发布到 npm，漏洞以 CVE-2025-55182 正式披露。

💡 技术背景

React Server Functions 允许客户端通过 HTTP 请求调用运行在服务器上的函数，React 会负责序列化与反序列化过程。漏洞恰恰出在服务端解码载荷的环节：

客户端发起的函数调用被转换为 HTTP 请求。
服务端解析载荷并执行对应的函数。
攻击者可以伪造恶意载荷，诱使 React 在反序列化过程中执行任意代码。

在官方确认补丁完全部署之前，更多技术细节将保持保密，以免漏洞被大规模利用。

🎯 行动建议

立即确认项目所用的 React 与框架版本。
马上升级 React 核心依赖以及框架/打包器提供的 RSC 支持包。
同步通知团队、合作伙伴及客户，确保所有部署都得到修复。
监控服务器日志与入侵检测，关注是否存在可疑请求。
持续关注官方公告（React、Next.js、Expo、Redwood 等），获取最新补丁状态。

升级指南（框架 & 构建工具）

Next.js

npm install next@15.0.5   
npm install next@15.1.9   
npm install next@15.2.6   
npm install next@15.3.6   
npm install next@15.4.8   
npm install next@15.5.7   
npm install next@16.0.7

若使用 14.3.0-canary.77 或更高的 canary，请降级至最新 14.x 稳定版：

1	npm install next@14

详见 Next.js 安全公告。

React Router（不稳定 RSC API）

npm install react@latest
npm install react-dom@latest
npm install react-server-dom-parcel@latest
npm install react-server-dom-webpack@latest
npm install @vitejs/plugin-rsc@latest

Expo

1	npm install react@latest react-dom@latest react-server-dom-webpack@latest

Redwood SDK

1 2	npm install rwsdk@latest npm install react@latest react-dom@latest react-server-dom-webpack@latest

更多迁移说明见 Redwood 文档。

Waku

1	npm install react@latest react-dom@latest react-server-dom-webpack@latest waku@latest

详情参考 Waku 官方讨论。

@vitejs/plugin-rsc

1	npm install react@latest react-dom@latest @vitejs/plugin-rsc@latest

react-server-dom-parcel

1	npm install react@latest react-dom@latest react-server-dom-parcel@latest

react-server-dom-turbopack

1	npm install react@latest react-dom@latest react-server-dom-turbopack@latest

react-server-dom-webpack

1	npm install react@latest react-dom@latest react-server-dom-webpack@latest

🙏 致谢

感谢安全研究员 Lachlan Davidson 发现并报告漏洞，也向在补丁发布期间提供临时缓解与验证的托管服务商、框架团队和社区贡献者致以谢意。

📢 重要提醒

安全无小事！ 该漏洞的严重性不容忽视，请务必在今天完成升级，保障用户数据与业务连续性。

转发给你的技术团队，让更多开发者看到这条重要信息！

本文根据 React 团队于 2025 年 12 月 3 日发布的「Critical Security Vulnerability in React Server Components」翻译整理。

🚨 漏洞概述

12 月 3 日，React 官方团队发布最高级别安全通告：React 服务器组件（RSC）存在未认证的远程代码执行漏洞。
漏洞已被登记为 CVE-2025-55182，CVSS 得分 10.0（危害最高级别）。
攻击者无需通过身份验证，只要能向 Server Function 端点发送恶意 HTTP 请求，就可能在服务器上执行任意代码，直接接管你的后端环境。
即便你尚未实现任何 React Server Function，只要你的框架或构建工具启用了 RSC 能力，就可能处于风险之中。

⚠️ 你是否受到影响？

受影响的 React 版本

19.0
19.1.0
19.1.1
19.2.0

受影响的框架与工具

Next.js
React Router
Waku
@parcel/rsc
@vitejs/plugin-rsc
rwsdk

以下情况暂不受影响

✅ 完全运行在客户端、没有任何服务端代码的 React 应用
✅ 没有使用支持 React 服务器组件的框架或打包工具

特别注意：只要支持 React 服务器组件，即便没有配置任何 Server Function 端点，也可能遭到攻击！

🛡️ 紧急修复方案

React 团队已在 19.0.1、19.1.2、19.2.1 中修复，请立即升级到对应分支的安全版本。
若你使用的是 canary 版本（如 Next.js 14.3.0-canary.77+），请降级到最新稳定版，再等待后续补丁。
一些托管服务商已在 React 团队指导下部署临时缓解，但请勿依赖临时方案，必须升级依赖。

基础升级命令示例：

1
2
3

npm install react@19.2.1 react-dom@19.2.1

yarn add react@19.2.1 react-dom@19.2.1

📅 漏洞时间线

11 月 29 日：安全研究员 Lachlan Davidson 通过 Meta Bug Bounty 报告漏洞。
11 月 30 日：Meta 安全团队确认漏洞，并与 React 团队展开修复。
12 月 1 日：修复方案完成，同时与托管服务商和生态项目联动部署缓解措施。
12 月 3 日：补丁发布到 npm，漏洞以 CVE-2025-55182 正式披露。

💡 技术背景

React Server Functions 允许客户端通过 HTTP 请求调用运行在服务器上的函数，React 会负责序列化与反序列化过程。漏洞恰恰出在服务端解码载荷的环节：

客户端发起的函数调用被转换为 HTTP 请求。
服务端解析载荷并执行对应的函数。
攻击者可以伪造恶意载荷，诱使 React 在反序列化过程中执行任意代码。

在官方确认补丁完全部署之前，更多技术细节将保持保密，以免漏洞被大规模利用。

🎯 行动建议

立即确认项目所用的 React 与框架版本。
马上升级 React 核心依赖以及框架/打包器提供的 RSC 支持包。
同步通知团队、合作伙伴及客户，确保所有部署都得到修复。
监控服务器日志与入侵检测，关注是否存在可疑请求。
持续关注官方公告（React、Next.js、Expo、Redwood 等），获取最新补丁状态。

升级指南（框架 & 构建工具）

Next.js

npm install next@15.0.5   
npm install next@15.1.9   
npm install next@15.2.6   
npm install next@15.3.6   
npm install next@15.4.8   
npm install next@15.5.7   
npm install next@16.0.7

若使用 14.3.0-canary.77 或更高的 canary，请降级至最新 14.x 稳定版：

1	npm install next@14

详见 Next.js 安全公告。

React Router（不稳定 RSC API）

npm install react@latest
npm install react-dom@latest
npm install react-server-dom-parcel@latest
npm install react-server-dom-webpack@latest
npm install @vitejs/plugin-rsc@latest

Expo

1	npm install react@latest react-dom@latest react-server-dom-webpack@latest

Redwood SDK

1 2	npm install rwsdk@latest npm install react@latest react-dom@latest react-server-dom-webpack@latest

更多迁移说明见 Redwood 文档。

Waku

1	npm install react@latest react-dom@latest react-server-dom-webpack@latest waku@latest

详情参考 Waku 官方讨论。

@vitejs/plugin-rsc

1	npm install react@latest react-dom@latest @vitejs/plugin-rsc@latest

react-server-dom-parcel

1	npm install react@latest react-dom@latest react-server-dom-parcel@latest

react-server-dom-turbopack

1	npm install react@latest react-dom@latest react-server-dom-turbopack@latest

react-server-dom-webpack

1	npm install react@latest react-dom@latest react-server-dom-webpack@latest

🙏 致谢

感谢安全研究员 Lachlan Davidson 发现并报告漏洞，也向在补丁发布期间提供临时缓解与验证的托管服务商、框架团队和社区贡献者致以谢意。

📢 重要提醒

安全无小事！ 该漏洞的严重性不容忽视，请务必在今天完成升级，保障用户数据与业务连续性。

转发给你的技术团队，让更多开发者看到这条重要信息！